Ryzyko cyber znalazło się w Polsce na trzecim miejscu listy najistotniejszych zagrożeń dla biznesu w raporcie Aon „Globalne badanie zarządzania ryzykiem 2023”. Eksperci ubezpieczeniowi spodziewają się w 2024 r. wzrostu zainteresowania polisami od cyberryzyk, obejmującymi m.in. potencjalne koszty kar administracyjnych czy okupu dla hakerów.
Według opracowania Aon „2023 Cyber Resilience Report” koszt pojedynczego naruszenia danych w przedsiębiorstwie wzrósł w latach 2022–2023 do historycznego maksimum wynoszącego prawie 4,5 miliona dolarów. W firmach, które nie wykorzystują sztucznej inteligencji i automatyzacji w ramach swoich działań związanych z bezpieczeństwem, sięgnął około 5,4 mln dol.
– Coraz większa skala i koszty cyberataków na infrastrukturę informatyczną firm oraz naruszeń bezpieczeństwa danych sprawiły, że na świecie i w Europie zagrożenie to znalazło się na pierwszym miejscu najistotniejszych dla biznesu ryzyk. Tak wynika z przeprowadzonego przez Aon „Globalnego badania zarządzania ryzykiem 2023”. Ranga ataków cyber wzrosła również w Polsce, gdzie odnotowały skok na 3. pozycję z 18. zaledwie dwa lata wcześniej. Spodziewam się, że w najbliższych 12 miesiącach ich znaczenie będzie jeszcze rosło, mobilizując przedsiębiorstwa do odpowiednich zabezpieczeń, także przed ich skutkami – mówi Paweł Krak, Practice Director, Financial & Professional Lines Aon Polska.
Coraz więcej branż obawia się cyberataków
Wzrost znaczenia cyberataków w branży zarządzania ryzykiem w 2024 r. pokazuje też sektorowa różnorodność firm, które wskazały je jako najistotniejsze z punktu widzenia prowadzonej działalności. Tego rodzaju zagrożeń obawiają się m.in. przemysł farmaceutyczny, handel, hotelarstwo, usługi finansowe, media i nowa technologia. Dotyczy to również sektora publicznego, sportu i rozrywki, doradztwa biznesowego, ubezpieczeń oraz usług opieki zdrowotnej. W tych branżach ryzyko cyber znalazło się na pierwszym miejscu. Producenci żywności i napojów, przemysł rolno-spożywczy oraz transport i logistyka umiejscowiły to zagrożenie na drugiej pozycji. Natomiast budownictwo, produkcja i przemysł oraz branża zasobów naturalnych – na trzeciej.
Polska jednym z najczęściej atakowanych krajów
Według Fintech Global w 2022 r. wzrost liczby cyberataków zgłosiło 58% organizacji brytyjskich, 49% w regionie DACH (Niemcy, Austria, Szwajcaria) i 47% w krajach skandynawskich. CERT Polska zarejestrował w 2022 r. aż o 34% więcej zgłoszeń niż w 2021 r. Sąsiedztwo z krajem, w którym toczy się wojna, oraz jasne poparcie dla Ukrainy sprawiły, że 59% polskich małych i średnich przedsiębiorstw stało się celem ataków cyber.
– Analiza dostępnych danych pozwala stwierdzić, że najczęstszymi atakami w Polsce są zdarzenia DDos, polegające na zablokowaniu możliwości korzystania ze strony internetowej, poczty czy sklepu internetowego. Częste są także phishing czy ransomware – głośny ostatnio w związku z atakiem grupy RA World na sieć laboratoriów ALAB. Rok 2024 upłynie więc najpewniej pod znakiem wprowadzania w firmach zabezpieczeń przed tego typu cyberprzestępstwami. Na znaczeniu zyskają departamenty zarządzania ryzykiem i gotowe rozwiązania – polisy ubezpieczeniowe chroniące przedsiębiorstwa przed kosztownymi skutkami cyberataków – tłumaczy Piotr Rudzki, Senior Broker, Financial & Professional Lines Aon Polska.
Zarządzanie ryzykiem cyber do poprawki
Aon sprawdził także, czy polskie firmy są przygotowane na zagrożenie atakami i czy wprowadziły politykę zarządzania tym ryzykiem. Okazuje się, że obecnie niespełna 43% krajowych przedsiębiorstw posiada wdrożony plan lub formalny przegląd ryzyka, na co składają się kwantyfikacja i ocena ryzyka, kalkulacja rozwiązań finansowania, opracowanie planów ciągłości oraz planu zarządzania ryzykiem. Jest to nadal niewielki odsetek w porównaniu z wynikami globalnymi na poziomie blisko 89%.
Polisa tylko dla świadomie zarządzających ryzykiem
Dla przedsiębiorstw pomocnym narzędziem transferu ryzyka będzie polisa od cyberryzyk. Dostępność takiego ubezpieczenia jest jednak ograniczona.
– Z odmową ubezpieczycieli mogą spotkać się firmy, w których budżety na bezpieczeństwo IT są nieadekwatne. Nieco łatwiej powinno być podmiotom, które świadomie zarządzają tym ryzykiem. Niemniej także i one powinny wykazać nie tylko posiadanie antywirusów czy firewalli, ale też m.in. czy posiadają uwierzytelnianie wieloskładnikowe, wykonują cyklicznie kopie zapasowe i je testują, szyfrują dane krytyczne, a także dane w transferze, stosują procedury zarządzania poprawkami, posiadają plany ciągłości BCP/DRP oraz czy szkolą pracowników w zakresie bezpieczeństwa i higieny pracy w sieci – dodaje Piotr Rudzki.
(AM, źródło: Brandscope)
